Sumo Logic을 이용한 운영 효율성 향상

Sumo Logic은 로그를 스키마 기반으로 파싱하고, 원시 로그(raw log)에 대해 코어 플랫폼에서 필드 추출을 수행해 쿼리를 간소화합니다. SIEM 로그 매핑을 통해 통합 검색을 위한 플랫폼 전반의 필드를 정렬하여 보안 분석가가 구조화 및 비구조화 데이터를 원활하게 상관 분석하고 인사이트를 도출할 수 있도록 지원합니다.

반면 Google Security Operations(구 Google Chronicle)는 독자적인 통합 데이터 모델(Unified Data Model, UDM) 스키마를 사용하므로 로그를 사전에 고정된 포맷으로 파싱해야 합니다. Google Cloud Storage(GCS)에 저장된 원시 로그(raw log)에는 필드 추출 규칙이 없어 SOC 분석가는 복잡한 정규식을 사용해 검색해야 합니다. 이 설정에서는 통계 연산이나 원시 데이터와 파싱 데이터 간 상관 분석을 지원하지 않습니다.

Sumo Logic의 Insight Engine은 MITRE ATT&CK 프레임워크와 통합해 경고 알림 피로 문제를 해결합니다. 적응형 신호 클러스터링 알고리즘을 활용해 연관된 신호를 자동으로 그룹화함으로써 경고 알림 분류 프로세스를 간소화합니다. 집계된 위험이 사전 정의된 임곗값을 초과하면 실행 가능한 인사이트를 생성하여 가장 중요한 위협에 집중할 수 있도록 지원합니다.

Google SecOps는 정교한 위험 기반 경고 알림 기능이 부족합니다. 고급 상관 분석이나 사용자 지정 가능한 위험 점수가 지원되지 않기 때문에 SecOps에서는 경고 알림의 우선순위를 효과적으로 지정할 수 없습니다. 그 결과 위험도가 큰 위협이 즉시 처리되지 않아 보안 침해 가능성이 증가합니다. 

Sumo Logic 클라우드 SIEM은 보안 커버리지를 넓혀주는 사전 구축된 앱들을 제공합니다. 이러한 앱은 대부분 MITRE ATT&CK 프레임워크에 매핑된 탐지 규칙과 규정 준수 콘텐츠를 포함하고 있어 알려진 위협과 구성 오류에 즉시 대응 가능하며 보안 사각지대를 줄일 수 있습니다.

반면 Google SecOps에는 내장된 보안 콘텐츠가 부족합니다. 대시보드, 탐지 규칙, 원클릭 설치 앱 등이 제공되지 않아 배포 시간이 길어지고 전문 서비스 비용이 증가하며 가치 실현 시간이 길어집니다.

Sumo Logic의 SIEM, 로그, 자동화 기능을 아우르는 통합 UI는 사용자 지정 큐레이션 피드 등 여러 신뢰할 수 있는 소스에서 집계한 실시간 위협 인텔리전스를 기반으로 워크플로를 간소화하고, 실행 가능한 인사이트가 담긴 경고 알림을 강화하여 경고 알림 피로를 줄여줍니다.

Google SecOps는 기본적인 SOC 운영 기능을 제공하지만, 위협 탐지, 조사, 대응 과정 전반에서 워크플로 조율 작업을 효과적으로 관리하기에는 부족합니다. SOC 팀은 적시 개입에 꼭 필요한 실행 가능한 실시간 경고 알림에 접근하지 못해 대용량 쿼리 응답 처리 시 어려움을 겪는 경우가 많습니다.